Sistemos paskirtos „Azure“ valdomos tapatybės turi apribojimų, susijusių su ugniasienės konfigūracijomis, visų pirma dėl jų būdingo pobūdžio ir tai, kaip jie sąveikauja su tinklo saugumo nustatymais. Čia yra keletas svarbiausių punktų:
1. Jie nesuteikia tiesioginio ugniasienės konfigūracijos kontrolės. Tai reiškia, kad jei jums reikia pritaikyti konkrečias ugniasienės taisykles šaltiniui, jums gali būti sudėtingiau naudojant sistemą pasirašytos tapatybės, palyginti su vartotoju priskirtais, kuriuos galima valdyti lanksčiau.
2. Konkrečios šaltiniams tapatybė: Sistemos paskyrimo valdomos tapatybės yra susietos su šaltinio, kuriam jie priskiriami, gyvavimo ciklą. Tai reiškia, kad jei jums reikia pritaikyti nuoseklias ugniasienės taisykles įvairiuose šaltiniuose, naudojant sistemą paskirtos tapatybės gali būti ne tokios efektyvios, kaip naudojant vartotojo paskirtas tapatybes, kuriomis galima pasidalyti įvairiais ištekliais.
3. Ribotas tinklo konfigūracijos lankstumas: kadangi sistemoje skirtos tapatybės yra automatiškai valdomos, jie nesiūlo tokio paties lygio lankstumo, kaip konfigūruoti tinklo parametrus, įskaitant ugniasienės taisykles, kaip tai daro vartotojo paskirtos tapatybės. Tai gali būti apribojimas, jei jums reikia įdiegti sudėtingas tinklo saugumo konfigūracijas.
4. Atnaujinkite ir atnaujinkite apribojimus: Leidimų pakeitimai ar narystė grupėje valdomoms tapatybėms, įskaitant sistemą paskirtas, gali užtrukti kelias valandas, kad būtų galima sklisti dėl žetonų talpyklos. Šis vėlavimas gali paveikti tai, kaip greitai įsigalioja ugniasienės taisyklės, jei jie pasikliauja tapatybės leidimais.
Apskritai, nors sistemai skirtos valdomos tapatybės yra patogios paprastiems scenarijams ir laikosi mažiausio privilegijos principo, jie gali būti ne idealūs sudėtingoms ugniasienės konfigūracijoms ar scenarijams, reikalaujantiems labiau kontroliuoti tinklo saugumo nustatymus.
Citatos:
[1] https://learn.microsoft.com/en-us/entra/identity/managed-dentitity-azure-resources/managed-dentity-best-praktice-recomendations
[2] https://cloud.google.com/firewall/docs/firewalls
[3] https://www.reddit.com/r/azure/comments/xkzxrc/azure_managed_identity_vs_user_assigned_managed/
[4] https://www.cisco.com/c/en/us/td/docs/security/secure-firewall/management-center/device-config/760/management-center-device-config-76/identity-oveview.html
[5] https://learn.microsoft.com/en-us/Entra/identity/Managed-dentitity-azure-resources/Managed-didenttities-faq
[6] https://learn.microsoft.com/en-us/azure/api-management/api-management-howto-use-semed-service-entity
[7] https://docs.azure.cn/en-us/logic-apps/Authenticate-with-Shithed-dentity
[8] https://help.zerto.com/bundle/install.ma.html.90/page/enabling_user_assigned_managed_identities_and_setting_mandatory_permissions_in_azure.htm
[9] https://katiekodes.com/entra-azure-system-aSsigned-langeage-dentity/